Tehdit İstihbaratı Ana Laboratuvarınızı Oluşturma ve Kaynaklar

Ara 29, 2024
Cyber Security
Blue Team

Ev laboratuvarı kurmak, kendi siber güvenlik oyun alanınıza sahip olmak gibidir; keşfedebileceğiniz, öğrenebileceğiniz ve tehdit istihbaratı becerilerinizi geliştirebileceğiniz bir yer. İster deneyimli bir araştırmacı olun ister yeni başlıyor olun, tehdit istihbaratı analistlerine yönelik olarak uyarlanmış bazı heyecan verici ev laboratuvarı projelerini burada bulabilirsiniz:

Tehdit İstihbaratı Platformu Kurulumu

Tehdit İstihbaratı Platformu Kurun ve Yapılandırın

Araçlar: MISP (Kötü Amaçlı Yazılım Bilgi Paylaşım Platformu), OpenDXL veya ThreatConnect Topluluk Sürümü.

Amaç: Tehdit istihbaratı verilerini toplamak, analiz etmek ve paylaşmak için bir platform oluşturmak.

Görevler: 

  • Platformu bir sanal makineye veya özel bir sunucuya yükleyin.
  • Harici tehdit istihbaratı akışlarını entegre edin.
  • Tehdit göstergelerini ve olaylarını oluşturma ve yönetme alıştırması yapın.

Tehdit göstergelerini ve olaylarını oluşturma ve yönetme alıştırması yapın.

  • Araçlar: Maltego, Recon-ng veya Shodan.
  • Amaç: Açık kaynak verilerini toplayın ve analiz edin.

Görevler: 

  • Alanlar, IP adresleri ve e-posta adresleri hakkında bilgi toplamak için araçları kullanın.
  • Potansiyel tehditleri veya güvenlik açıklarını belirleyin.

Dark Web Monitoring

  • Araçlar: Have I Been Pwned, Dark Web Scanner.
  • Amaç: Çalınan veriler veya tehditler için karanlık web’i takip edin

Görevler: 

  • Veri ihlalleri veya güvenliği ihlal edilmiş kimlik bilgileri için uyarılar ayarlayın.
  • Bulguları değerlendirin ve güvenlik üzerindeki etkilerini değerlendirin.

Ağ Trafiği Analizi 

  • Araçlar: Wireshark, Zeek (eski adıyla Bro).
  • Amaç: Şüpheli etkinlik açısından ağ trafiğini yakalayın ve analiz edin.

Görevler: 

  • Ağ yakalamayı ve izlemeyi yapılandırın.
  • Kötü niyetli davranış veya anormallik belirtileri arayın.

Kendi Balküpünüzü (Honeypot) Yaratın 

  • Araçlar: Cowrie, Dionaea veya Honeyd.
  • Amaç: Saldırıları çekmek ve analiz etmek için bir bal küpü konuşlandırın.

Görevler: 

  • Savunmasız hizmetleri taklit eden bir bal küpü kurun ve yapılandırın.
  • Etkileşimleri izleyin ve saldırgan davranışına ilişkin verileri toplayın.

Kötü Amaçlı Yazılım Analizi 

  • Araçlar: Cuckoo Sandbox, Any.run.
  • Amaç: Kötü amaçlı yazılım örneklerini kontrollü bir ortamda analiz etmek.

Görevler: 

  • Bir korumalı alan (sandbox ) ortamı yapılandırın.
  • Davranışlarını anlamak için kötü amaçlı yazılım örneklerini çalıştırın ve inceleyin.

Statik ve Dinamik Analize Dalın

  • Araçlar: Statik analiz için IDA Pro, OllyDbg veya Ghidra; Dinamik analiz için Process Monitor ve Process Explorer.
  • Amaç: Hem statik hem de dinamik analiz yoluyla uzlaşma göstergelerini (IOC’ler) belirlemek.

Görevler: 

  • Kötü amaçlı yazılım ikili dosyalarını inceleyin ve davranışlarını gözlemleyin.
  • Bulgularınızı belgeleyin ve IOC’ler oluşturun.

 Olay Müdahale (Incident Response)Simülasyonu 

  • Araçlar: Diğer projelerdeki araçları karıştırın ve eşleştirin.
  • Amaç: Bir olay müdahale planı geliştirmek ve uygulamak.

Görevler:

  • Güvenlik olaylarını simüle edin (fidye yazılımı veya veri ihlallerini düşünün).
  • Her olayı kontrol altına almak ve azaltmak için müdahale planınızı izleyin.
  • Planınızı öğrendiklerinize göre geliştirin.

Güvenlik Açığı Taraması ve Değerlendirmesi(Vulnerability Scanning and Assessment)

  • Araçlar: Nessus, OpenVAS veya Nexpose.
  • Amaç: Ağınızdaki ve sistemlerinizdeki güvenlik açıklarını tarayın ve değerlendirin.

Görevler: 

  • Güvenlik açığı taramalarını yapılandırın ve çalıştırın.
  • Güvenlik açıklarına öncelik verin ve düzeltmeleri uygulayın.

Tehdit İstihbaratı Veri Entegrasyonu(Threat Intelligence)

  •  Araçlar: STIX/TAXII, MISP.
  • Amaç: Güvenlik araçlarınızda tehdit istihbaratı beslemelerini toplayın ve bunlardan yararlanın.

Görevler: 

  • Tehdit istihbaratı beslemelerini SIEM’inize bağlayın (ELK Stack veya Splunk gibi).
  • Tehdit algılama ve yanıt yeteneklerini geliştirin.

Otomasyon ve Komut Dosyası Oluşturma 

  • Araçlar: Python, PowerShell.
  • Amaç: Tekrarlanan görevleri kolaylaştırın.

Görevler: 

  • Tehdit istihbaratı süreçlerini otomatikleştirmek için komut dosyaları yazın.
  • Zamandan tasarruf edin ve analize odaklanın.

Tehdit İstihbaratı (Threat Intelligence) Raporlaması 

  • Araçlar: Kibana, Grafana veya özel raporlama araçları.
  • Amaç: Tehdit istihbaratı bulgularına ilişkin raporlar geliştirmek ve sunmak.

Görevler: 

  • Topladığınız ve analiz ettiğiniz verilere dayalı raporlar oluşturun.
  • Hem teknik hem de idari özetler oluşturma alıştırması yapın.

Etik Hacking ve Sızma Testi

Sızma Testi Ortamı Kurun

  • Araçlar: Kali Linux, Metasploit, Burp Suite.
  • Amaç: Etik hackleme tekniklerini ve sızma testlerini uygulayın.

Görevler: 

  • Kendi sistemlerinizde veya sanal ortamlarınızda penetrasyon testi yapın.
  • Güvenlik açıklarını ve düzeltme adımlarını belgeleyin.

Bu projeler, tehdit istihbaratı araştırmalarıyla ilgili geniş bir beceri yelpazesi geliştirmenize yardımcı olacaktır. Ayrıca özgeçmişinizde veya iş görüşmelerinde sergileyebileceğiniz pratik deneyimler de sağlarlar. Çalışmanızı ve ilginç bulgularınızı belgelediğinizden emin olun; çünkü bu, potansiyel işverenlere yeteneklerinizi göstermenize yardımcı olacaktır.

Tehdit istihbaratı araştırmaları için kendi ev laboratuvarı projelerinizi oluşturmanıza, oluşturmanıza ve uygulamanıza yardımcı olacak bazı değerli kaynaklar ve kılavuzlar aşağıdaki gibi:

1.https://github.com/aboutsecurity/blueteam_homelabs

Blue Team Laboratuvarı: Siber Güvenlik Eğitimi için Pratik Ortam, Zeek, Suricata, Security Onion, Moloch, Pi-hole ve daha fazlası gibi araçları içerir.

Siber güvenlik dünyasında, özellikle savunma odaklı “Blue Team” operasyonları için pratik deneyim kazanmak büyük önem taşır. Ev laboratuvarları (homelab), güvenlik uzmanlarının gerçek dünya senaryolarını güvenli bir ortamda simüle etmelerine olanak sağlayan mükemmel bir eğitim platformudur.

Bir Blue Team Laboratuvarının Temel Bileşenleri:

1. Sanallaştırma Altyapısı
– VMware Workstation/Player
– VirtualBox
– Proxmox
– Hyper-V
Bu platformlar, birden fazla sanal makineyi aynı anda çalıştırmanıza olanak tanır.

2. Temel Sistemler
– Windows Server (Active Directory ortamı için)
– Linux sunucular (Ubuntu, CentOS)
– İstemci sistemleri (Windows 10/11, Linux masaüstü dağıtımları)

3. Güvenlik Araçları
– SIEM çözümleri (Splunk, ELK Stack)
– IDS/IPS sistemleri (Snort, Suricata)
– Log yönetim araçları
– Güvenlik duvarları (pfSense, OPNsense)

Ev Laboratuvarı Kurulumunda Önemli Noktalar:

1. Donanım Gereksinimleri
– Minimum 16GB RAM
– Çok çekirdekli işlemci
– Yeterli depolama alanı (tercihen SSD)
– İyi bir ağ kartı

2. Ağ Segmentasyonu
– Yönetim ağı
– Test ağı
– İzole saldırı ağı
– DMZ bölgesi

3. İzleme ve Analiz
– Ağ trafiği izleme
– Log toplama ve analizi
– Güvenlik olaylarının tespiti
– Olay müdahale senaryoları

Eğitim Senaryoları:

1. Tehdit Avı
– Şüpheli aktivite tespiti
– Kötü amaçlı yazılım analizi
– Ağ anomalilerinin incelenmesi

2. Olay Müdahale
– Güvenlik ihlallerinin tespiti
– Delil toplama
– Adli analiz uygulamaları

3. Sistem Güvenliği
– Güvenlik sıkılaştırma
– Yama yönetimi
– Güvenlik politikalarının uygulanması

Avantajlar:

1. Maliyet Etkinliği
– Ücretsiz veya düşük maliyetli yazılımlar
– Var olan donanımın kullanılabilmesi
– Ölçeklenebilir yapı

2. Öğrenme Fırsatları
– Pratik deneyim
– Hata yapma özgürlüğü
– Gerçek dünya senaryolarını simüle etme

3. Profesyonel Gelişim
– Teknik becerilerin geliştirilmesi
– Yeni teknolojileri öğrenme
– Portfolio oluşturma

Güvenlik Önerileri:

1. İzolasyon
– Ana sistemden ayrı ağ
– İnternet erişiminin kontrolü
– Güvenli snapshot yönetimi

2. Dokümantasyon
– Yapılandırma kayıtları
– Öğrenilen derslerin not edilmesi
– Süreç ve prosedürlerin belgelenmesi

Sonuç:
Blue Team ev laboratuvarı, siber güvenlik profesyonellerinin ve öğrencilerinin pratik deneyim kazanmaları için değerli bir kaynaktır. Doğru planlamayla, minimum maliyetle maksimum öğrenme fırsatı sunar. Bu ortamlar, gerçek dünya senaryolarını güvenli bir şekilde simüle ederek, savunma tekniklerinin geliştirilmesine ve test edilmesine olanak sağlar.

Bu laboratuvarlar sayesinde, siber güvenlik uzmanları sürekli değişen tehdit ortamına karşı hazırlıklı olabilir ve savunma yeteneklerini geliştirebilir. Düzenli pratik ve güncel tehditlerle ilgili çalışmalar yaparak, organizasyonların güvenliğini sağlamada daha etkin rol oynayabilirler.

 

2. https://darkcybe.gitbook.io/darkcybe/guides/security-engineering/building-a-cybersecurity-home-lab

  • SOC öykünme laboratuvarı kurmaya yönelik ipuçları ve araçlar sağlar.
  • Wazuh (EPP/EDR), Security Onion (NSM), Velociraptor (IR) ve ELK veya Splunk (SIEM)2’yi kapsar.

3. https://archcloudlabs.com/projects/threat-intel-in-the-homelab/

  • Tehdit istihbaratının zenginleştirilmesi için Pulsedive ve ANY.RUN’un kullanılması anlatıyor.
  • Tehdit istihbaratı verileriyle ana laboratuvarınızı geliştirmeye yönelik pratik bilgiler3 .

4. https://simeononsecurity.com/articles/what-is-a-homelab-and-should-you-have-one/

  • Evde laboratuvara sahip olmanın yararları ve önemine genel bir bakış.
  • Laboratuvarınızı öğrenme hedeflerinize uyacak şekilde özelleştirmeye yönelik ipuçları

5. https://github.com/reswob10/HomeLabResources

  • Justin Henderson’ın (SANS Sertifikalı Eğitmen) ev laboratuvarı oluşturmayla ilgili video serisi.
  • Tespit odaklı bir mavi ekip laboratuvarı oluşturmaya yönelik adımları kapsar 5 .